<FTPサービスにおける注意点と攻撃例> FTP はインターネット・サービスとしては歴史が古く、不正利用されることの最も多いサービスでもある。FTP サービスが受ける侵入として最も一般的なものは、単に違法コピー・ソフトウェアなどの置き場所として利用されることだ。 FTPサイトでは、外部のユーザが同一ディレクトリ 読み書きを両方行えるような設定を決して行わないこと。また、anonymousの書き込み許可は絶対にしてはいけない。基本的なディレクトリ(フォルダ)設定やユーザ設定に関してはWeb同様のセキュリティチェックリストやセキュリティ情報を参照するとよいだろう。・FTPサービスへの代表的な攻撃(1)Bounceアタック 誤って設定されたFTP サーバを利用する古典的なネットワーク・アタックの1つです。FTPサーバのすべての管理者は、この攻撃のしくみを理解しておく必要があります。The FTP Bounce Attack( http://www.insecure.org/nmap/hobbit.ftpbounce.txt )(2)無効なPORTコマンド PORTコマンドを利用した侵入の試行があるが、現在のFTPサービスではこの攻撃はほぼ無効。(3)FTP PORT の制約 FTPのPORTコマンドを使って、よく知られているポート番号へのFTP転送が設定された状態。通常、不正なファイル転送が試みられている場合がある。(4)FTP CWD ~root コマンド FTPサーバの旧バージョンにあるバグの一つ。これにより/etc/passwdなどを引き出すことが可能である。(5)FTP SITE EXEC コマンド wu-ftpdの2.2より古いバージョンには、脆弱点があり、ハッカーやクラッカーがこれを利用してプログラムを実行できる。(6)FTP 非常に長いユーザ名 ユーザ名フィールドを使い、故意に”バッファ・オーバフロー”を起こそうとしている。(7)FTP 非常に長いパスワード パスワードフィールドを使い、故意に”バッファ・オーバフロー”を起こそうとしている。(8)FTP 非常に長い CWD 先のディレクトリ名: CWDコマンドを使い、故意に”バッファ・オーバフロー”を起こそうとしている。(9)FTP 非常に長いファイル名 ファイル名フィールドを使い、故意に”バッファ・オーバフロー”を起こそうとしている。(10)FTP 非常に長いコマンド行 異常に長いコマンド使い、故意に”バッファ・オーバフロー”を起こそうとしている。 FTPは多くのコマンドを受け付けるため、古いサーバアプリケーションにはほとんどといってよいほど、バッファ・オーバフローの脆弱性を持っている。最新のソフトウェアには数は少なくなってきたが、それでもまだ若干残っているし、潜在的なものも残っているはずである。FTPバッファ・オーバフローに関してはCERTを参照するとよいだろう。http://www.cert.org/advisories/CA-1999-03.html FTPに関する情報は、使っているOSやアプリケーションによってその機能、対策が大きくことなってしまうため、それぞれのアプリケーションサイトの情報を確認するとよい。wu-ftpd http://www.landfield.com/wu-ftpd/Linuxなどので多く使われているwu-ftpdの情報IIS http://www.microsoft.com/JAPAN/technet/security/マイクロソフトのセキュリティ情報<syslogに関して> アクセスログは必ず取っておくこと。できるなら内部のマシンからそのデータを吸い上げ、サーバ内で保管されているものはあてにしないようにしたほうがよいだろう。高度なハッカーは完全に手中にしたサーバのログを、その痕跡が残らないように自分の情報だけを削除してから保存ということも行うため、書き換えられる前に別の場所で保存しておくのがよい。米NetworkICE社 ホームページ:http://www.networkice.com/advICE(英語)ページ:http://advice.networkice.com/Advice/default.htm(株)東陽テクニカ セキュリティホームページ:http://www.toyo.co.jp/security/index.htmladvICE(日本語)ページ:http://www.toyo.co.jp/security/ice/advice/(株)東陽テクニカ情報通信システム部 セキュリティグループ安食 覚詳しくはScan本誌でご覧下さいhttp://www.vagabond.co.jp/c2/scan/
